Pourquoi le partage de mots de passe a coûté 400 000 € à une banque espagnole

Imaginez que vous entriez dans une chambre forte de haute sécurité, pour découvrir que chaque employé utilise exactement la même clé physique. Si une liasse de billets disparaît, comment déterminer qui a ouvert la porte ? Il ne s'agit pas d'un scénario de film de braquage ; c'est la réalité numérique qui a conduit l'Agence espagnole de protection des données (AEPD) à infliger une amende de 400 000 € à Unicaja Banco.

Au cœur de cette affaire se trouve une défaillance fondamentale de ce que nous appelons le contrôle d'accès. Dans le monde de la cybersécurité, le contrôle d'accès est le videur numérique qui décide qui est autorisé à voir quoi. Pour Unicaja, le videur était essentiellement endormi à son poste, permettant à plusieurs opérateurs d'accéder à des séquences de vidéosurveillance sensibles en utilisant des identifiants génériques partagés.

Le fantôme dans la machine

Lorsque l'AEPD a enquêté sur les pratiques de surveillance de la banque, elle a découvert une vulnérabilité systémique. Au lieu que chaque agent de sécurité dispose d'un nom d'utilisateur et d'un mot de passe uniques — une pratique connue sous le nom de comptes nominatifs — la banque s'appuyait sur des identifiants partagés. Dans un contexte réglementaire, c'est un péché capital. Si cinq personnes utilisent l'identifiant « Security_Admin », la banque perd toute traçabilité.

La traçabilité est la piste de miettes de pain qui permet à une organisation de reconstruire qui a accédé aux données personnelles, quand ils l'ont fait et ce qu'ils ont regardé. Sans cela, la banque ne pouvait pas prouver que les personnes visionnant les caméras étaient autorisées à le faire à ce moment précis. Selon le RGPD, les données sont un actif toxique si elles ne sont pas manipulées avec une prudence extrême ; les images vidéo de citoyens sont particulièrement sensibles car elles capturent le comportement, le mouvement et l'identité dans les espaces publics et privés.

Le mythe du sous-traitant autonome

L'un des aspects les plus intéressants de cette décision est la manière dont elle traite la relation entre un « Responsable de traitement » (la banque) et son « Sous-traitant » (la société de sécurité externe). En termes simples, le Responsable est le patron qui décide pourquoi les données sont collectées, et le Sous-traitant est le prestataire embauché pour effectuer le travail réel.

Unicaja a soutenu que la société de sécurité était responsable de la mise en œuvre technique du système de surveillance. Cependant, l'AEPD n'a pas accepté cet argument. Aux yeux de la loi, le Responsable de traitement est le capitaine du navire. Vous pouvez déléguer la tâche de piloter, mais vous ne pouvez pas déléguer la responsabilité de maintenir le cap. Unicaja a manqué à son devoir de supervision de son sous-traitant, signant essentiellement un contrat puis fermant les yeux pendant que le prestataire utilisait des méthodes de connexion obsolètes et non sécurisées.

La conformité comme boussole, pas comme simple liste de contrôle

Cette pénalité de 400 000 € sert de rappel sévère que la conformité n'est pas une tâche que l'on « règle une fois pour toutes ». C'est un processus de navigation continu. L'AEPD a donné trois mois à Unicaja pour revoir entièrement son approche de la sécurité vidéo. Il ne s'agit pas seulement de changer des mots de passe ; il s'agit de reconstruire les fondations de leur architecture de confidentialité.

Pour devenir conforme, la banque doit mettre en œuvre plusieurs mesures robustes :

• Identification individuelle : Chaque personne ayant accès au flux vidéo doit avoir un compte nominatif unique.
• Contrôle d'accès basé sur les rôles (RBAC) : L'accès doit être granulaire. Un garde débutant peut avoir besoin de voir les flux en direct, mais seul un cadre supérieur devrait pouvoir exporter ou supprimer des séquences enregistrées.
• Journalisation complète : Le système doit enregistrer automatiquement chaque connexion, déconnexion et accès aux fichiers, créant ainsi une piste d'audit permanente et infalsifiable.

Leçons du carnet de notes du détective numérique

En tant que personne passant mes journées à disséquer les violations de données et les dépôts réglementaires, je vois ce schéma fréquemment. Les organisations considèrent souvent la protection de la vie privée comme un obstacle bureaucratique plutôt que comme un droit humain fondamental. Elles investissent des millions dans des coffres-forts physiques mais laissent la « porte dérobée » numérique grande ouverte avec un mot de passe partagé écrit sur un post-it.

Dans mon propre travail, je traite chaque donnée comme de l'uranium. C'est puissant et nécessaire, mais si vous n'avez pas les bons protocoles de blindage et de confinement, cela finira par fuir et causer des dommages importants. Pour Unicaja, la fuite n'était pas un hacker à l'autre bout du monde ; c'était un échec systémique à respecter les empreintes numériques de ses propres employés et clients.

Comment auditer votre propre « coffre-fort numérique »

Que vous dirigiez une petite entreprise ou une multinationale, le cas Unicaja offre des leçons exploitables pour rester du bon côté de la loi :

1. Supprimez les comptes génériques : Si votre équipe partage un identifiant pour n'importe quel système contenant des données personnelles (e-mail, CRM, vidéosurveillance), désactivez-le aujourd'hui.
2. Vérifiez vos prestataires : Ne supposez pas que vos fournisseurs de logiciels ou vos sous-traitants de sécurité sont conformes. Demandez des journaux d'audit et des preuves de leurs protocoles de sécurité.
3. Le principe du moindre privilège : Ne donnez aux gens que le niveau d'accès minimal dont ils ont besoin pour faire leur travail. S'ils n'ont pas besoin de télécharger des données, supprimez le bouton « Télécharger » de leur interface.
4. Examinez la piste : Vérifiez périodiquement vos journaux d'accès. Si vous voyez une connexion à 3h00 du matin de la part d'un employé qui ne travaille que de jour, vous avez trouvé un signal d'alarme avant qu'il ne se transforme en amende.

En fin de compte, la protection de la vie privée dès la conception est la fondation d'une maison. Si la fondation est fissurée — si vous ne pouvez même pas dire avec certitude qui regarde vos données — toute la structure est précaire.

Sources

• Règlement général sur la protection des données (RGPD), Article 5(1)(f) (Intégrité et confidentialité) et Article 32 (Sécurité du traitement).
• Loi organique espagnole 3/2018 (LOPDGDD) sur la protection des données personnelles.
• Décision de l'AEPD PS/00392/2023 concernant Unicaja Banco S.A.

Avertissement
Cet article est fourni uniquement à des fins d'information et de journalisme. Il ne constitue pas un conseil juridique. Pour des conseils spécifiques sur la conformité aux réglementations relatives à la vie privée, veuillez consulter un professionnel du droit qualifié.